ISA防火墙在中小企业中的综合应用

ISA防火墙在中小企业中的综合应用(上)网络拓朴结构--见下图:正确配置网络基础结构:配置网络基础结构:TCP/IP设置:不同网络适配器必须连接到不同的网络只能配置一个默认网关多VLAN网络下的ISA防火墙配置--使用Routeadd来添加到其他VLAN的路由使用添加网络适配器来添加网络地址范围--保证其他VLAN和对应的网络适配器属于相同的网络DNS:内部网络中具有AD或其他的DNS服务--配置使用内部的DNS服务器(DC)内部DNS服务器将针对其他域的DNS解析请求转发到ISP的DNS服务器内部网络中无AD或其他的DNS服务--建立内部的缓存DNS服务器(推荐)配置客户使用ISP的DNS服务器缓存DNS服务器:通常指没有管理任何区域的DNS服务器--缓存DNS解析请求并为其他客户服务具有转发功能的DNS服务器均具有缓存DNS解析记录的功能。缓存DNS解析记录的好处--减少Internet连接上的DNS流量减少客户端DNS解析请求时延我来到一台计算机名称叫做florence的计算机现在我来添加到其他VLAN的路由通过开始--运行--输入cmd按确定来打开命令提示符在里面输入routeadd10.2.1.0mask255.255.255.010.1.1.254按回车键输入routeprint按回车键看到了吗?现在已经成功添加到其他VLAN的路由了接下来就需要安装一个缓存的DNS服务器了通过开始--设置--按控制面板--双击添加或删除程序--按添加/删除Windows组件--按网络服务--按详细信息--把域名系统(DNS)沟上--接确定接着下一步进行安装DNS服务通过开始--程序--管理工具--按DNS来打开DNS服务现在我来配置一下缓存DNS服务器对着FLORENCE(计算机名称)右键--选择属性--按接口我们不需要在外部接口上侦听一个DNS请求所以我只保留内部的接口(10.1.1.1)就可以了然后在转发器里面设置转发为到ISP的DNS服务器按转发器--在所选域的转发器的IP地址列表里面输入61.128.128.6861.128.192.68按添加按确定这样配置就完成了现在我来测试一下缓存DNS服务器是否工作正常在命令提示符里面输入nslookup按回车键--输入服务里面按查看--把高级沟上--展开缓存的查找--(根)--org--按isacn看到了吗?里面有一个到内部网络那一步按添加--按添加适配器把本地连接(内部网卡)沟上按确定看到了吗?VLAN的地址范围(10.2.1.0)已经包含在内部网络中了接着下一步进行安装ISA防火墙ISA防火墙安全强化:保证ISA防火墙的物理安全性保证ISA防火墙管理员账户的安全在防火墙策略中严格限制到ISA防火墙的访问不要在ISA防火墙上运行其他不必要的服务和应用程序关闭不需要的网络协议停止不需要的系统服务部署防火墙策略:防火墙策略执行方式:从上到下对防火墙策略进行评估,执行第一条匹配的规则位于最底部的默认规则拒绝所有通信部署防火墙策略的两种基本模型:仅允许部分客户,禁止其他所有通信(默认)仅禁止部分客户,允许其他所有通信根据自己的需要来决定具体的防火墙策略--使用最少的防火墙策略来达到你的目的评估防火墙策略:按照顺序评估防火墙策略的各个字段:协议(主要连接端口)源网络和源端口计划时间目的网络用户内容类型应用层筛选完全匹配:执行防火墙策略定义的操作不匹配:评估下一条防火墙策略,直到默认策略(拒绝所有通信)为止目的网络:基于IP地址的网络元素:网络网络集计算机集计算机地址范围子网基于FQDN的网络元素:域名集URL集建议配置客户为Web代理客户区分不同的客户:源网络(基于IP地址):MAC地址绑定使用arp-sIP地址MAC地址使用arp-a查看被绑定的IP地址支持的客户类型:SNATFWCWPC用户账户(需要身份验证):身份验证数据库:ADLocalSAM支持的客户类型:FWCWPC我现在来到计算机名称叫做florence这台计算机它是第一台ISAServer2004服务器并且是配置存储服务器我创建二条阵列访问规则来允许IP地址为10.1.1.6那台计算机能够上网打开ISA服务器管理器--展开阵列--FLORENCE--按防火墙--在右边任务选项的阵列策略任务里面按创建阵列访问规则--访问规则名称就叫做AllowInternalLocalhosttouseDNS吧接着下一步在符合规则条件时要执行的操作里面选择允许接着下一步在此规则应用到里面选择所选的协议--按添加--展开通用协议--按DNS--按添加--按关闭接着下一步在此规则应用于来自这些源的通讯里面按添加--展开网络--按内部--按添加--按关闭接着下一步在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按本地主机--按添加--按关闭接着下一步在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)接着下一步这是最后一步了按完成我再创建一条阵列访问规则来允许内部客户端访问外部按创建阵列访问规则--访问规则名称就叫做AllowInternalClienttoInternet吧接着下一步在符合规则条件时要执行的操作里面选择允许接着下一步在此规则应用到里面选择所有出站通讯接着下一步在此规则应用于来自这些源的通讯里面按添加--在网络实体里面按新建--选择计算机--因为那台计算机的名称叫做berlin名称就叫做berlin吧--在计算机IP地址里面输入10.1.1.6按确定在网络实体里面展开计算机--按berlin--按添加--按关闭接着下一步在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭接着下一步在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)接着下一步这是最后一步了按完成记得在ISA服务器管理里面按一下应用我现在来到计算机名称叫做berlin这台计算机打开命令提示符输入nslookup按回车键可以看到能解析成功默认服务器的计算机名称就叫做florence.yejunsheng.comIP地址是10.1.1.1再输入按回车键看到了吗?现在计算机名称叫做berlin这台计算机已经可以上网了我来到ISA服务器这边按监视--按日志--可以看到是通过我刚才新建的访问规则允许上网的我现在来到一台计算机名称叫做istanbul的计算机它的IP地址是10.1.1.8子网掩码是255.255.255.0默认网关是10.1.1.1DNS服务器地址是10.1.1.1在命令提示符里面输入nslookup按回车键可以看到也能解析成功为什么能解析成功呢?那是因为在ISA服务器上创建的第一条访问规则允许内部到本地主机的DNS解析这台计算机的IP地址同样是属于内部网络中因此它也能解析域名打开IE浏览器--输入你会发现就可以上网了这是为什么呢?因为在ISA服务器上只限制了IP地址如果你把IP地址改成可以上网的IP地址就可以上网了对于这种情况怎么处理呢?在ISA服务器上做一个arp地址绑定限制用户访问的内容:限制用户访问的内容类型:禁止访问音频、视频内容等禁止访问可执行文件或应用程序等仅对HTTP协议或HTTP封装的FTP协议有效:如果某个防火墙策略的内容类型不是所有类型,那么这条策略只对HTTP和HTTP封装的FTP协议有效。我现在来到ISA服务器这边按防火墙策略(FLORENCE)--对着从berlin到外部这条访问规则右键--选择属性--按内容类型--在选择的内容类型里面只把HTML文档沟上按确定我来到计算机名称叫做berlin这台计算机测试一下打开IE浏览器--在地址里面输入按回车键看到了吗?虽然可以看到文字了但是图像是看不到的这是因为我在berlin到外部这条访问规则的内容类型里面只允许访问HTML文档所以就只能够看到文字了在ISA服务器管理里面按监视--按日志--可以看到所有针对图片的访问全部被默认规则拒绝掉了这是为什么呢?这是因为在规则中只是允许客户访问一个HTML文档内容类型并没有允许它访问图像类型因此ISA防火墙认为用户对图像的访问不匹配这条访问规则所以就被最后的默认规则拒绝掉了限制用户访问的时间:可以通过计划时间定义防火墙策略的有效时间以小时为单位在应用新的防火墙策略时,ISA防火墙并不会断开已建立的连接--所有防火墙ByDesign重启ISA防火墙服务断开用户会话我现在使用计划时间来限制用户的访问对着berlin到外部这条阵列访问规则右键--选择属性--按计划--按新建--名称就叫做Test吧默认计划时间是总是比如今天是星期六我就让它星期六无效让它变成非活动的按确定在ISA服务器管理里面按一下应用我现在来到berlin这台计算机打开IE浏览器--输入按回车键看到了吗?刚才对计划时间的限制已经生效了现在不能访问到Internet了允许/限制用户访问的协议:ISA防火墙内置了上百种流行协议可以根据需要自定义协议可以通过日志来分析客户所使用的协议限制客户的并发连接数:防止拒绝服务攻击增强网络安全性--客户中病毒后发起大量连接限制客户所使用的带宽:连接线程和所使用的带宽并没有绝对的正比关系但是往往更多的连接线程会占用更多的带宽我现在来设置一下定义连接限制在ISA服务器管理里面按常规--按定义连接限制默认情况下在每个客户端的TCP和非TCP连接数限制是160不过普通客户要超出160是比较困难的一般情况下使用80就可以了我就先把它设置为2吧这样客户端下载是比较慢的了按确定记得在ISA服务管理器里面按一下应用我现在来到计算机名称叫做berlin这台计算机下载一个软件可以看到连接线程数是6个但是ISA防火墙只是允许只有二个连接线程是能够下载的其他的线程都是被拒绝掉的监控客户的行为:ISA防火墙内置功能:日志查看器报告第三方软件:GFIWebmonitor--Web协议监控KerioNetworkMonitor--应用层内容监控监控客户所使用的带宽:监视客户所使用的带宽:KerioNetworkMonitorSoftperfectBandwidthManager控制客户所使用的带宽:SoftperfectBandwidthManagerVPN服务:ISA防火墙中的集成VPN服务:依赖于RRAS并且和RRAS紧密集成可以对VPN用户实现访问控制VPN连接类型:远程访问VPN:PPTPL2TP/IPSec站点到站点VPN:PPTPL2TP/IPSecIPSecTunnel配置远程访问VPN:定义地址范围授权VPN客户访问选择访问网络--外部(默认)选择VPN协议--PPTP(默认)L2TP/IPSec:身份验证证书IPSec共享密钥选择身份验证方法:MS-CHAP2(默认)创建防火墙策略允许VPN客户访问VPN客户地址分配:分配方式:DHCP静态IP地址池地址类型:子网内地址(内部网络中的地址范围):ISA防火墙针对VPN客户代理ARP无需配置内部网络和VPN客户之间的路由子网外地址(不位于内部网络的地址范围):需要配置内部网络和VPN客户之间的路由容易区分VPN客户授权VPN客户访问:非域环境--在